谷歌最近在Chrome浏览器中阻止了7个TCP端口。如果用户访问使用这些端口的网站,将无法访问这些网站。此举的目的主要是为了防止NATSlipstreaming2.0漏洞。为了应对公共IP地址的枯竭和提高网络安全性,几乎所有的路由器和防火墙都提供了一种称为网络地址转换(NAT)的功能,这使得那些在私有IP地址下的设备仍然可以连接到互联网。此功能允许路由器跟踪从内部设备到Internet的请求,并将这些请求发送到路由器的公共IP地址。当远程计算机响应请求时,它会自动将响应传输回发出原始请求的那些内部设备。进一步的NATSlipstreaming保护上个月,安全研究人员SammyKamkar、BenSeri和GregoryVishnipolsky披露了一种新型NATSlipstreaming漏洞。这种新颖的NATSlipstreaming漏洞允许网站托管恶意脚本,这些脚本发送特制响应,绕过网站访问者的NAT防火墙,并获得对用户内部网络上任何TCP/UDP端口的访问权限。在首次披露该漏洞时,谷歌表示他们将屏蔽5060和5061这两个TCP端口的HTTP和HTTPS访问,以防止Chrome87出现该漏洞。近日,谷歌再次宣布Chrome浏览器也将屏蔽HTTP、HTTPS和FTP访问TCP端口69、137、161、1719、1720、1723和6566。NATSlipstream2.0攻击是一种跨协议请求伪造,允许带有恶意脚本的Internet服务器攻击私有网络上的计算机NAT设备。这种攻击依赖于能够在端口1720(H.323)上发送流量。谷歌在其Chrome状态页面的功能描述中解释说:“为了防止进一步的攻击,这一变化还阻止了其他几个已知被NAT设备检查的端口,以防止对这些端口的类似利用。“当用户尝试使用这些端口连接到网站时,Chrome会显示一条消息,指出无法通过ERR_UNSAFE_PORT错误访问该网站。如果开发人员托管在这些端口上运行的网站,他们应该切换到另一个端口,所以用户可以继续访问网站而不受这些端口的影响,Firefox、Edge、Safari将逐步对NATSlipstreaming2.0漏洞加入相应的防护措施,目前尚不清楚Safari和Firefox中哪些端口会被屏蔽,但由于Edgebrowsing浏览器和Chrome使用同一个内核,所以同一个端口也可能被屏蔽/128346/angular-debugging-guides
